It-kriminalitet er også et ledelsesanliggende

Download now

Når en virksomhed udsættes for it-kriminalitet, er det ofte it-afdelingen, der alene styrer undersøgelsen og vurderer konsekvenserne af afdækkede fakta. Mens it-afdelingen har de tekniske forudsætninger for at løse opgaven, er der uden involvering af den juridiske ledelse stor risiko for, at vigtige juridiske og forretningsmæssige konsekvenser overses.

PwC har i en amerikansk publikation behandlet det juridiske og ledelsesmæssige ansvar i forbindelse med  it-kriminalitet. Rapporten er baseret på amerikansk ret, men illustrerer en række problemstillinger, som også er relevante for danske virksomheder.

Systemsvigt og datatab forekommer på trods af høj sikkerhed

Selvom størstedelen af danske virksomheder anvender betydelige ressourcer på at sikre sig mod it-kriminalitet, er ingen systemer 100 % sikre. It-sikkerhedsforanstaltninger såsom adskilt backup, stærke passwords og logning af aktiviteter kan i betydelig grad reducere usikkerheden, men et ”succesfuldt” angreb mod virksomhedens it-systemer kan aldrig udelukkes, bl.a. fordi it-kriminelle løbende udvikler nye metoder.

Ifølge tal fra Danmarks Statistik oplevede 24 % af danske virksomheder ”svigt af hardware eller software” i løbet af år 2009, mens 6 % var udsat for ”ødelagte data pga. virus eller uautoriseret adgang” og endnu 6 % oplevede ”angreb udefra”. Risikoen for it-kriminalitet er altså ikke kun af teoretisk karakter, men findes de facto.

PwC udfører hver andet år en omfattende undersøgelse af udbredelsen af virksomhedskriminalitet i mere end 40 lande. Den seneste Crime Survey fra 2009 viser, at i Danmark bliver ca. 25 % af virksomhederne udsat for en eller flere kriminelle handlinger i løbet af et år.

Konsekvenser for hele forretningen

I USA og Storbritannien er virksomheder lovgivningsmæssigt forpligtet til at informere eksternt, hvis personoplysninger kan være blevet kompromitteret som følge af et sikkerhedsbrud.

Et aktuelt eksempel er Sony, som i april 2011 blev udsat for et hackerangreb mod Playstation Network. Dette medførte en kompromittering af brugeroplysninger fra 77 mio. brugerkonti. Efterfølgende har Sony måtte informere sine brugere om hændelsen og angrebet har ført til retssager og statslige efterforskninger i såvel USA som Europa.

I Danmark har man på politisk plan hidtil været tilbageholdende med at stille virksomheder til ansvar for tab af f.eks. personfølsomme oplysninger. Flere partier på Christiansborg barsler imidlertid med overvejelser om tvungen åbenhed ved svigt i virksomheders  it-sikkerhed, som kan påvirke eksterne brugere.

Søren Primdahl, ekspert i virksomhedskriminalitet fra PwC udtaler: ”Der er meget, der tyder på, at den åbenhed ved it-svigt - som er et lovkrav i f.eks. USA - også vil komme til Danmark. Datatilsynet har i en række sager anset det for god databehandlingsskik at informere ”ofrene” i tilfælde af it-sikkerhedsbrud og Sony-sagen er her et glimrende eksempel på at it-kriminalitet også kan være et ledelsesanliggende.

Hvordan involverer jeg den juridiske ledelse?

I denne publikation giver PwC syv råd til, hvordan den juridiske ledelse i passende omfang kan engageres i håndteringen af it-kriminalitet i samarbejde med it-afdelingen.

Et af forslagene er oprettelse af en informationssikkerhedsgruppe, som er sammensat af repræsentanter fra flere forskellige afdelinger. Denne gruppe skal udarbejde handlingsplaner til brug i tilfælde af it-kriminalitet og have klare retningslinjer for, hvilke typer af it-sikkerhedsbrud, der skal videregives til ledelsen. Derudover kan virksomheden med fordel have en ekspert med speciale i it-kriminalitet tilknyttet, som kan træde til i de afgørende timer og dage efter en hændelse.

”Min erfaring er, at en forudgående strukturering de undersøgelser, som normalt skal udføres i tilknytning til en virksomhedskriminel handling, er helt afgørende for afdækningen af fakta og ledelsens stillingtagen til konsekvenserne af handlingen. For at kunne udføre disse kontroller må handlingsplanerne ligge klar i skuffen – skal de først udarbejdes, når skaden er sket, er det for sent,” udtaler Søren Primdahl.

Kontakt os

Hvis du vil vide mere om it-kriminalitet, er du velkommen til at kontakte os til en uforpligtende samtale. Du finder kontaktinformation øverst til højre.